安恒信息“大型汽車制造集團工控安全體系規(guī)劃項目”入選2023中國互聯(lián)網(wǎng)大會創(chuàng)新成果

  • 人閱讀
  • 2023-07-27 17:26:43

  • 來源:千龍網(wǎng)新聞

  • 相關(guān)關(guān)鍵詞

近日,由中國互聯(lián)網(wǎng)協(xié)會主辦的2023中國互聯(lián)網(wǎng)大會“數(shù)字化轉(zhuǎn)型發(fā)展論壇”在北京舉行。會上,安恒信息《大型汽車制造集團工控安全體系規(guī)劃項目》入選2023(第二十二屆)中國互聯(lián)網(wǎng)大會創(chuàng)新成果。

安恒信息深耕工業(yè)信息安全領(lǐng)域多年,總結(jié)汽車制造行業(yè)特點和需求,結(jié)合自身實踐經(jīng)驗,梳理符合行業(yè)要求的工業(yè)控制系統(tǒng)安全防護解決方案,踐行全棧安全防護思路,涵蓋安全合規(guī)、安全能力提升、安全運營能力版塊,持續(xù)推進汽車制造行業(yè)安全防護體系建設(shè),為汽車工業(yè)安全建設(shè)保駕護航。

大型汽車制造集團工控安全體系規(guī)劃方案

行業(yè)現(xiàn)狀和問題

隨著數(shù)字化轉(zhuǎn)型工作的不斷推進,IT/OT通過人、機、物的全面互聯(lián)實現(xiàn)網(wǎng)絡(luò)融合,構(gòu)建起全要素、全產(chǎn)業(yè)鏈、全價值鏈、全面連接的新型工業(yè)生產(chǎn)制造和服務(wù)體系,傳統(tǒng)信息網(wǎng)絡(luò)所面臨的病毒、木馬、入侵攻擊、拒絕服務(wù)等安全威脅正在向工業(yè)控制系統(tǒng)擴散。

同樣,汽車制造行業(yè)也打破了傳統(tǒng)工業(yè)相對封閉可信的生產(chǎn)環(huán)境,安全管理和技術(shù)防護跨域運維能力不足、安全人員技術(shù)水平不足、安全防護水平殘差不齊,亟需打造專業(yè)的安全管理體系與防護技術(shù)標準,全面提升安全防護能力。

建設(shè)目標

基于《工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》3-4級基本要求,為用戶企業(yè)打造專業(yè)的安全管理體系、安全技術(shù)體系和安全運營體系,全面提升安全防護能力,降低安全事件的發(fā)生與被攻擊的概率。通過引進專業(yè)技術(shù)力量,實現(xiàn)內(nèi)外部協(xié)同、人員能力共同成長,建立統(tǒng)一的工控安全基線,切實提升用戶企業(yè)的工控安全水平,全面提升安全防護能力。

技術(shù)方案

本方案中工控安全體系建設(shè)的重點內(nèi)容包括:梳理資產(chǎn)、風險評估、安全測試驗證和體系建設(shè)。

盤點資產(chǎn),明確安全保護對象

對工藝車間(沖壓、焊接、涂裝和總裝等)的工控資產(chǎn)(例如:工業(yè)控制主機,如操作員站、工控機、一體機、服務(wù)器等;工業(yè)控制設(shè)備,如PLC、HMI、機器人、各類工藝控制器等;其他設(shè)備,如網(wǎng)絡(luò)設(shè)備及其他通過網(wǎng)絡(luò)連接、可能引入網(wǎng)絡(luò)安全風險的組件等)開展資產(chǎn)信息收集和梳理,形成工控資產(chǎn)臺賬,構(gòu)建資產(chǎn)與業(yè)務(wù)系統(tǒng)之間的關(guān)系,明確安全保護對象,最終輸出工控資產(chǎn)信息統(tǒng)計表。

風險評估,確定現(xiàn)場安全風險

通過現(xiàn)場訪談、問卷、資料收集、工具評估、人工審計等方式,對目前管理、技術(shù)現(xiàn)狀、資產(chǎn)等進行安全評估。通過對重點部門核心人員進行跨部門、跨崗位訪談,結(jié)合工控系統(tǒng)設(shè)計、采購、實施、驗收、運營等過程現(xiàn)狀,分析當前工控系統(tǒng)全生命周期存在的問題,利用工控安全檢查工具箱對企業(yè)工控網(wǎng)絡(luò)進行風險識別和評估,形成工控安全檢查報告,最后輸出工控系統(tǒng)安全風險評估報告。

風險驗證,梳理攻擊面與攻擊路徑

對各工藝車間(沖壓、焊接、涂裝和總裝等)的數(shù)據(jù)庫服務(wù)器、SCADA系統(tǒng)、OPC服務(wù)器上位機、控制器、視頻攝像頭等不同類型的工控系統(tǒng)開展安全測試,在生產(chǎn)場景中通過辦公網(wǎng)對生產(chǎn)管理網(wǎng)、生產(chǎn)控制網(wǎng)等進行遠程操作?;跍y試結(jié)果分析工控系統(tǒng)存在的安全風險以及危害,與風險評估中的安全風險進行比對,進一步分析風險成因,提出針對性解決辦法或緩解措施。對安全測試攻擊思路、攻擊方法、攻擊工具進行總結(jié)梳理,賦能工控安全人員,提升人員技術(shù)能力。針對工控系統(tǒng)工藝特點、工控資產(chǎn)類型等因素,對不同類型工控主機或設(shè)備制定安全測試辦法,固化成基本套路/工具,使工控安全人員能夠快速開展針對特定工控資產(chǎn)的安全測試、現(xiàn)狀安全評估等工作。

建立工控安全保障體系,制定企業(yè)安全防護基線

建立工控安全體系運行機制,運行機制活動內(nèi)容覆蓋工控系統(tǒng)全生命周期,實現(xiàn)有效安全管控。梳理出符合汽車制造工業(yè)場景的工控安全基線、工控安全防護指南、工控安全防護技術(shù)架構(gòu)、工控安全管理規(guī)定和工控安全事件響應(yīng)流程等,涵蓋管理規(guī)定、流程、規(guī)范、表單等4層文件體系,通過試點來驗證有效性和合理性,便于在集團或行業(yè)內(nèi)推廣。

價值成效

完成工控安全體系建設(shè),為不同數(shù)字化程度的企業(yè)提供彈性的安全建設(shè)框架

工控安全體系主要包括整體管理要求、項目安全管理、運營安全管理以及風險評估、威脅預(yù)警、應(yīng)急處置相關(guān)流程,覆蓋工控系統(tǒng)從建設(shè)到運營使用全生命周期,形成管理規(guī)定、流程、規(guī)范等體系文件,根據(jù)企業(yè)的數(shù)字化建設(shè)程度,制定具有針對性的工控安全體系。

梳理工控安全滲透測工具集和方法,提高工控安全人員的技能

通過對企業(yè)辦公網(wǎng)數(shù)據(jù)中心、生產(chǎn)管理網(wǎng)和控制網(wǎng)的車間進行遠程滲透測試,利用信息收集、漏洞掃描、地址探測、端口掃描、web訪問、腳本測試等測試手段發(fā)現(xiàn)問題,并在安全測試過程中,針對汽車制造業(yè)生產(chǎn)場景進行攻擊路徑、攻擊界面、攻擊效果的驗證,同時對不同類型工控主機或設(shè)備制定安全測試辦法,固化成基本套路/工具等,賦能用戶企業(yè)工控安全人員,提升人員技術(shù)能力。

打通工控安全運營與資產(chǎn)平臺對接,實現(xiàn)線上化管理

對用戶各工藝車間的工控資產(chǎn)開展資產(chǎn)信息收集和梳理,梳理出資產(chǎn)與業(yè)務(wù)的關(guān)系,資產(chǎn)的類型、運營人員、風險值等,形成工控資產(chǎn)信息表和工控資產(chǎn)點位圖;構(gòu)建統(tǒng)一的工控全體系建設(shè)總體架構(gòu)。

安恒信息大型汽車制造集團工控安全體系規(guī)劃方案以《工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》3-4級為基本要求,根據(jù)行業(yè)工控現(xiàn)狀建立了適合本行業(yè)的工控系統(tǒng)全生命周期安全標準規(guī)范及管控措施,補齊存量資產(chǎn)短板,完善增量資產(chǎn)的體系管理;圍繞網(wǎng)絡(luò)安全、主機安全、設(shè)備安全、控制安全等9個方面建立工控安全基線,嵌入到工控建設(shè)流程中,為用戶企業(yè)打造專業(yè)的安全管理體系與防護技術(shù)標準,建立完整的工控安全管理和運營體系,構(gòu)建集團統(tǒng)一的工控安全防護基線,提升用戶企業(yè)的安全防護能力。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )